《[精选]信息化安全生产标准管理导论.pptx》由会员分享,可在线阅读,更多相关《[精选]信息化安全生产标准管理导论.pptx(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全标准信息安全导论模块信息安全导论模块3信息安全法律法规与标准信息安全法律法规与标准1内容提要n1、标准的定义、标准的定义n2、标准的分级、标准的分级n3、标准的分类、标准的分类n4、与计算机信息系统安全等级保护相关、与计算机信息系统安全等级保护相关的标准的标准n5、信息安全国际标准、信息安全国际标准21 标准的定义n国际标准化组织定义:由有关各方根据科学技术国际标准化组织定义:由有关各方根据科学技术成就与先进经验,共同合作起草,一致或基本上成就与先进经验,共同合作起草,一致或基本上同意的技术标准或其他公开文件,其目的在于促同意的技术标准或其他公开文件,其目的在于促进最正确的公共利益,并
2、由标准化团体批准进最正确的公共利益,并由标准化团体批准n我国定义:标准是对重复性事物和概念所做的统我国定义:标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协调一致,由主管机构批准,为基础,经有关方面协调一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据以特定形式发布,作为共同遵守的准则和依据32 标准的分级n我国标准分为四级我国标准分为四级n国家标准:由国务院标准化行政主管部门负责组织国家标准:由国务院标准化行政主管部门负责组织制定和审批制定和审批n行业标准:由国务院有关行政主管部门负责制定和行
3、业标准:由国务院有关行政主管部门负责制定和审批,并报国务院标准化行政主管部门备案审批,并报国务院标准化行政主管部门备案n地方标准:由省级政府标准化行政主管部门负责制地方标准:由省级政府标准化行政主管部门负责制定和审批,并报国务院标准化行政主管部门和国务定和审批,并报国务院标准化行政主管部门和国务院有关行政主管部门备案院有关行政主管部门备案n企业标准:由企业法人代表或法人代表授权的主管企业标准:由企业法人代表或法人代表授权的主管领导批准、发布,由企业法人代表授权的部门统一领导批准、发布,由企业法人代表授权的部门统一管理,企业产品标准应向当地标准化行政主管部门管理,企业产品标准应向当地标准化行政主
4、管部门和有关行政主管部门备案和有关行政主管部门备案43 标准的分类n按标准发生作用的范围和审批标准级别来分按标准发生作用的范围和审批标准级别来分n国家标准国家标准n行业标准行业标准n地方标准地方标准n企业标准企业标准n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分53 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分按标准的约束性来分n强制性标准:保障人体健康、人身、财产安全的国强制性标准:保障人体健康、人身、财产安全的国家标准或行业标准和法律及行政法规规定强制执行家标准或行业标准和法律及行政法规规定强制执行的
5、标准。必须执行,不符合的产品禁止生产、销售的标准。必须执行,不符合的产品禁止生产、销售和进口和进口n推荐性标准:相对于强制性标准的其他标准。鼓励推荐性标准:相对于强制性标准的其他标准。鼓励企业自行采用企业自行采用n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分63 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分按标准在标准系统中的地位和作用来分n基础标准:一定范围内作为其他标准的基础并普遍基础标准:一定范围内作为其他标准的基础并普遍使用的标准,具有广泛的指导意义使用的标准,具有广泛的指导意义n
6、例如,例如,GB17859:1999计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则n一般标准:相对于基础标准的其他标准一般标准:相对于基础标准的其他标准n按标准化对象在生产过程中的作用来分n按标准的性质来分73 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分按标准化对象在生产过程中的作用来分n产品标准;原材料标准;零部件标准;工艺和工艺产品标准;原材料标准;零部件标准;工艺和工艺装备标准;设备维修标准;检验和试验方法标准;装备标准;设备维修标准;检验和试验方法标准;检验、测量和
7、试验设备标准;搬运、贮存、包装、检验、测量和试验设备标准;搬运、贮存、包装、标识标准等标识标准等n按标准的性质来分83 标准的分类n按标准发生作用的范围和审批标准级别来分n按标准的约束性来分n按标准在标准系统中的地位和作用来分n按标准化对象在生产过程中的作用来分n按标准的性质来分按标准的性质来分n技术标准:对标准化领域中需要协调统一的技术事项技术标准:对标准化领域中需要协调统一的技术事项所制定的标准所制定的标准n管理标准:对标准化领域中需要协调统一的管理事项管理标准:对标准化领域中需要协调统一的管理事项所制定的标准所制定的标准n工作标准:对工作的责任、权利、范围、质量要求、工作标准:对工作的责
8、任、权利、范围、质量要求、程序、效果、检查方法、考核方法所制定的标准程序、效果、检查方法、考核方法所制定的标准9信息安全标准n我国的信息安全从保密技术、难度、标我国的信息安全从保密技术、难度、标准的特点出发,将信息安全保密标准分准的特点出发,将信息安全保密标准分为三级为三级n第一级国家标准第一级国家标准n第二级国家第二级国家 队标准队标准n第三级国家保密标准第三级国家保密标准n三级标准中,国家保密标准最高三级标准中,国家保密标准最高n其他标准还包括:公共安全行业标准其他标准还包括:公共安全行业标准GA10n我国信息安全标准我国信息安全标准 会在制定我国信息会在制定我国信息安全标准方面做了大量的
9、工作安全标准方面做了大量的工作n目前已出台的信息安全保护方面的标准目前已出台的信息安全保护方面的标准主要包括在国家标准和公共安全行业标主要包括在国家标准和公共安全行业标准中,当然在国家准中,当然在国家 队标准、国家保密队标准、国家保密标准中也有所涉及标准中也有所涉及114 与计算机信息系统安全等级保护相关的标准nGB17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则nGA/T387-2002计算机信息系统安全等级保护网络技术要计算机信息系统安全等级保护网络技术要求求nGA/T388-2002计算机信息系统安全等级保护操作系统技计算机信息系统安全等级保护操作
10、系统技术要求术要求nGA/T389-2002计算机信息系统安全等级保护数据库管理计算机信息系统安全等级保护数据库管理系统技术要求系统技术要求nGA/T390-2002计算机信息系统安全等级保护通用技术要计算机信息系统安全等级保护通用技术要求求nGA/T391-2002计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护管理要求nGB9361-88S计算站场地安全要求计算站场地安全要求nGA163-1997计算机信息系统安全专用产品分类原则计算机信息系统安全专用产品分类原则12GB17859-1999计算机信息系计算机信息系统安全保护等级划分准则统安全保护等级划分准则n是建立计算机信息系
11、统安全等级保护制是建立计算机信息系统安全等级保护制度,实施安全等级管理的重要基础性标度,实施安全等级管理的重要基础性标准准n将计算机信息系统安全保护能力划分为将计算机信息系统安全保护能力划分为五个等级:五个等级:n用户自主保护级用户自主保护级n系统审计保护级系统审计保护级n安全标记保护级安全标记保护级n结构化保护级结构化保护级n访问验证保护级访问验证保护级13GA/T390-2002计算机信息系计算机信息系统安全等级保护通用技术要求统安全等级保护通用技术要求n是计算机信息系统安全等级保护技术要是计算机信息系统安全等级保护技术要求系列标准的基础性标准,用以指导设求系列标准的基础性标准,用以指导设
12、计者如何设计和实现具有所需要的安全计者如何设计和实现具有所需要的安全等级的计算机信息系统等级的计算机信息系统n主要说明了为实现主要说明了为实现GB17859-1999中每中每一个保护等级的安全要求应采取的通用一个保护等级的安全要求应采取的通用的安全技术,和为确保这些安全技术所的安全技术,和为确保这些安全技术所实现的安全功能到达其应具有的安全性实现的安全功能到达其应具有的安全性而采取的通用的保证措施而采取的通用的保证措施14GA/T391-2002计算机信息系计算机信息系统安全等级保护管理要求统安全等级保护管理要求n明确提出了管理层、物理层、网络层、明确提出了管理层、物理层、网络层、系统层、应用
13、层和运行层的安全管理要系统层、应用层和运行层的安全管理要求,并将管理要求落实到求,并将管理要求落实到GB17859-1999的五个等级上的五个等级上n更有利于对安全管理的继承、理解、分更有利于对安全管理的继承、理解、分工实施,更有利于对安全管理的评估和工实施,更有利于对安全管理的评估和检查检查15GA/T387-2002计算机信息系计算机信息系统安全等级保护网络技术要求统安全等级保护网络技术要求n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的安全等级的网络系统需要的安全等级的网络系统n主要从对网络的安全保护等级进行划分主要从对网络的安全保护等级进行划分的角度来说明其
14、技术要求,即主要说明的角度来说明其技术要求,即主要说明了为实现了为实现GB17859-1999中每一个保护中每一个保护等级的安全要求对网络系统应采取的安等级的安全要求对网络系统应采取的安全技术措施,以及各安全技术要求在不全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异同安全级中具体实现上的差异16GA/T388-2002计算机信息系统计算机信息系统安全等级保护操作系统技术要求安全等级保护操作系统技术要求n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的安全等级的操作系统,主要从对需要的安全等级的操作系统,主要从对操作系统的安全保护等级进行划分的角操作系统的
15、安全保护等级进行划分的角度来说明其技术要求度来说明其技术要求17GA/T389-2002计算机信息系统安计算机信息系统安全等级保护数据库管理系统技术要求全等级保护数据库管理系统技术要求n用以指导设计者如何设计和实现具有所用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统,主需要的安全等级的数据库管理系统,主要从对数据库管理系统的安全保护等级要从对数据库管理系统的安全保护等级进行划分的角度来说明其技术要求进行划分的角度来说明其技术要求18GB17859-1999计算机信息系计算机信息系统安全保护等级划分准则统安全保护等级划分准则n五个等级:五个等级:n第一级:用户自主保护级第一级:
16、用户自主保护级n第二级:系统审计保护级第二级:系统审计保护级n第三级:安全标记保护级第三级:安全标记保护级n第四级:结构化保护级第四级:结构化保护级n第五级:访问验证保护级第五级:访问验证保护级n安全保护能力随着安全保护等级的提高,安全保护能力随着安全保护等级的提高,逐渐增强逐渐增强19五个等级保护能力比较编号编号保护能力工程保护能力工程第一级第一级第二级第二级第三级第三级第四级第四级第五级第五级1自主访问控制自主访问控制2强制访问控制强制访问控制3标记标记4身份鉴别身份鉴别5客体重用客体重用6审计审计7数据完整性数据完整性8隐蔽信道分析隐蔽信道分析9可信路径可信路径10可信恢复可信恢复20G
17、A/T391-2002计算机信息系计算机信息系统安全等级保护管理要求统安全等级保护管理要求n信息系统安全管理,是对一个组织或机构中信息系统的信息系统安全管理,是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理生命周期全过程实施符合安全等级责任要求的科学管理n落实安全组织及安全管理人员,明确角色与职责,制定安全规划落实安全组织及安全管理人员,明确角色与职责,制定安全规划n开发安全策略开发安全策略n实施风险管理实施风险管理n制定业务持续性方案和灾难恢复方案制定业务持续性方案和灾难恢复方案n选择与实施安全措施选择与实施安全措施n保证配置、变更的正确与安全保证配置、变更的正
18、确与安全n进行安全审计进行安全审计n保证维护支持保证维护支持n进行监控、检查,处理安全事件进行监控、检查,处理安全事件n安全意识与安全教育安全意识与安全教育n人员安全管理等人员安全管理等21主要安全要素22n信息系统安全管理的基本原则信息系统安全管理的基本原则n总原则总原则n主要主要 负责原则负责原则n标准定级原则标准定级原则n依法行政原则依法行政原则n以人为本原则以人为本原则n适度安全原则适度安全原则n全面防范、突出重点原则全面防范、突出重点原则n系统、动态原则系统、动态原则n控制社会影响原则控制社会影响原则n主要安全管理策略23n信息系统安全管理的基本原则信息系统安全管理的基本原则n总原则
19、n主要安全管理策略主要安全管理策略n分权制衡分权制衡n最小特权最小特权n选用成熟技术选用成熟技术n普遍参与普遍参与245 信息安全国际标准n国际上比较有影响的信息安全标准体系国际上比较有影响的信息安全标准体系主要有:主要有:nISO/IEC的国际标准的国际标准13335、17799、27001系列系列n 国家标准和技术国家标准和技术 会会NIST的特别出的特别出版物系列版物系列n英国标准协会英国标准协会BSI的的7799系列系列25n国际标准国际标准ISO/IEC是国际上最权威的由是国际上最权威的由国际标准化组织国际标准化组织 ISO和国际电工和国际电工 会会IEC所制定的国际标准所制定的国际
20、标准nISO和和IEC是世界范围的标准化组织,它是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过相关标准化组织都是其成员,他们通过各技术各技术 会,参与相关标准的制定会,参与相关标准的制定26nISO/IEC联合技术联合技术 会会JTC1子子 会会27ISO/IEC JTC1 SC27是信息安全领域是信息安全领域最权威和国际认可的标准化组织最权威和国际认可的标准化组织nISO/IEC JTC1 SC27发布的目前最主要发布的目前最主要的标准是的标准是nISO/IEC 13335nISO/IEC 17799:2005
21、nISO/IEC 27001:200527nBS 7799受到广泛认可受到广泛认可n它的第一局部已成为国际标准它的第一局部已成为国际标准 ISO/IEC 17799:2005n它的第二局部成为国际标准它的第二局部成为国际标准 ISO/IEC 27001:200528BS 7799信息安全管理标准nBS 7799是英国标准协会针对信息安全管理而是英国标准协会针对信息安全管理而制定的标准制定的标准n第一局部:是信息安全管理实践标准第一局部:是信息安全管理实践标准nCode of Practice for Information Security Managementn主要供负责信息安全系统开发的人
22、员作为参考使用主要供负责信息安全系统开发的人员作为参考使用n第二局部:是建立信息安全管理体系的标准第二局部:是建立信息安全管理体系的标准nSpecification for Information Security Management Systemsn可用来指导相关人员应用第一局部,最终目的是建可用来指导相关人员应用第一局部,最终目的是建立适合企业需要的信息安全管理体系立适合企业需要的信息安全管理体系29国际标准ISO/IEC 17799:2005n国际标准国际标准ISO/IEC 17799:2005信息技术安全技术信息技术安全技术信息安全管理实践标准信息安全管理实践标准n描述了信息安全管理
23、领域的最正确惯例,由描述了信息安全管理领域的最正确惯例,由11个独立的局个独立的局部组成部组成n安全方针安全方针n信息安全组织信息安全组织n资产管理资产管理n人力资源安全人力资源安全n物理与环境安全物理与环境安全n通信和运作管理通信和运作管理n访问控制访问控制n信息系统的获取、开发及维护信息系统的获取、开发及维护n信息安全事故管理信息安全事故管理n业务连续性管理业务连续性管理n符合性符合性30n上述上述11个方面,除了三个与技术密切相个方面,除了三个与技术密切相关之外,其他方面更侧重于组织整体的关之外,其他方面更侧重于组织整体的管理和运营操作管理和运营操作n表达了信息安全表达了信息安全“三分技
24、术,七分管理、三分技术,七分管理、“管理与技术并重的理念管理与技术并重的理念31国际标准ISO/IEC 27001:2005n国际标准国际标准ISO/IEC 27001:2005信息信息技术安全技术信息安全管理体系要技术安全技术信息安全管理体系要求求n是一个系统化、程序化和文档化的管理是一个系统化、程序化和文档化的管理体系,其中,技术措施只是作为依据安体系,其中,技术措施只是作为依据安全需求有选择有侧重地实现安全目标的全需求有选择有侧重地实现安全目标的手段而已手段而已n信息安全管理认证的国际标准信息安全管理认证的国际标准32本模块要求n了解信息安全国家标准和国际标准33n9、静夜四无邻,荒居旧
25、业贫。4月-234月-23Monday,April 17,2023n10、雨中黄叶树,灯下白头人。19:05:4619:05:4619:054/17/2023 7:05:46 PMn11、以我独沈久,愧君相见频。4月-2319:05:4619:05Apr-2317-Apr-23n12、故人江海别,几度隔山川。19:05:4619:05:4619:05Monday,April 17,2023n13、乍见翻疑梦,相悲各问年。4月-234月-2319:05:4619:05:46April 17,2023n14、他乡生白发,旧国见青山。17 四月 20237:05:46 下午19:05:464月-23
26、n15、比不了得就不比,得不到的就不要。四月 237:05 下午4月-2319:05April 17,2023n16、行动出成果,工作出财富。2023/4/17 19:05:4619:05:4617 April 2023n17、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。7:05:46 下午7:05 下午19:05:464月-23n9、没有失败,只有暂时停止成功!。4月-234月-23Monday,April 17,2023n10、很多事情努力了未必有结果,但是不努力却什么改变也没有。19:05:4619:05:4619:054/17/2023 7:05:46 PMn11
27、、成功就是日复一日那一点点小小努力的积累。4月-2319:05:4619:05Apr-2317-Apr-23n12、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。19:05:4619:05:4619:05Monday,April 17,2023n13、不知香积寺,数里入云峰。4月-234月-2319:05:4619:05:46April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:05:46 下午19:05:464月-23n15、楚塞三湘接,荆门九派通。四月 237:05 下午4月-2319:05April 17,2023n16、少年十五
28、二十时,步行夺得胡马骑。2023/4/17 19:05:4619:05:4617 April 2023n17、空山新雨后,天气晚来秋。7:05:46 下午7:05 下午19:05:464月-23n9、杨柳散和风,青山澹吾虑。4月-234月-23Monday,April 17,2023n10、阅读一切好书如同和过去最杰出的人谈话。19:05:4619:05:4619:054/17/2023 7:05:46 PMn11、越是没有本领的就越加自命非凡。4月-2319:05:4619:05Apr-2317-Apr-23n12、越是无能的人,越喜欢挑剔别人的错儿。19:05:4619:05:4619:0
29、5Monday,April 17,2023n13、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2319:05:4619:05:46April 17,2023n14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20237:05:46 下午19:05:464月-23n15、最具挑战性的挑战莫过于提升自我。四月 237:05 下午4月-2319:05April 17,2023n16、业余生活要有意义,不要越轨。2023/4/17 19:05:4619:05:4617 April 2023n17、一个人即使已登上顶峰,也仍要自强不息。7:05:46 下午7:05 下午19:05:464月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉